Банки начали собирать биометрию. Как защитить себя от слива этих данных третьим лицам?

Никак. Защитить себя нельзя. Если банки решат слить, то сольют. Если вы не работаете в банке, как вы можете на это повлиять?

Но вернемся на ступеньку назад. Что собой представляет биометрия? Это наука о распознавании человека по каким-то его характеристикам. Это может быть отпечаток пальца, голос, изображение лица. Что происходит, когда внедряется биометрия? Сначала вы должны собрать так называемые шаблоны, которые могут храниться в разном виде. Например, если это отпечаток пальца, то это может быть картинка отпечатка пальца, а может быть какой-то зашифрованный шаблон. Даже если этот шаблон попадет в третьи руки, например, на сторонний сайт или компакт-диск, как раньше было, злоумышленник получит картинку моего отпечатка пальца. Что он с ней сделает, с этой картинкой? Он может точно так же прийти в кафе, в котором я был, взять чашку чая, на которой остались мои отпечатки и срисовать эту картинку.

Что в этом страшного? Например, у банка есть миллион пользователей. Из них 800 тысяч оставили свои отпечатки пальцев. Они в открытом доступе. А что дальше? Эти шаблоны нужны для того, чтобы каждый раз, когда вы, например, приходите в банк без паспорта, вы могли бы этот отпечаток пальца сверить с шаблоном. Предположим, я украл ваш шаблон из банка. Я прихожу к оператору, и я должен показать шаблон отпечатка пальца? Каждый раз, когда вы как пользователь приходите к оператору или подходите к банкомату, где стоит специальное считывающее устройство, система должна сличить ваш шаблон с тем, что хранится в памяти. То есть я должен буду несанкционировано получить слепок, чтобы получить доступ к вашим деньгам. Если это банкомат, оператора рядом не будет, но если отделение банка, то тогда и оператор должен быть в сговоре. Если аппаратная часть, которая будет сличать шаблоны в виде отпечатков и других шаблонов, не сможет противостоять подделкам, то тогда это будет опасно. Но если это профессиональная современная система, то ничего не получится.

Насколько я помню, вероятность подделать биометрические данные очень низкая. Это почти невозможно. Зависит от того, как устроена система. Если мы говорим про отпечатки пальцев, то есть разные сенсоры, в смартфонах они емкостные. В фильмах про американских киногероев стоят оптические сканеры. Их, кстати, можно обмануть, особенно, если они дешевые: там нужна только картинка. Поэтому на серьезных объектах применяют редко. Есть радиочастотные сенсоры. Они определяют не только картинку отпечатка пальца, но и сам палец, проверяя мертвый и живой слой кожи. Сделать такой шаблон очень сложно. Это на 3D-принтере не распечатаешь, нужно, чтобы эта частота отражалась по-разному от мертвого и живого слоя кожи.

Как такое подделывать? Не знаю, я бы сам не взялся. Голос — тоже биометрия человека, его тоже можно подделать на компьютерных программах. Но, понимаете, на объектах, например, в банках, когда речь идет об индивидуальных пользователях, которые исчисляются десятками миллионов, там применяется не идентификация пользователей, когда система должна узнать, кто вы, а верификация — система должна ответить на вопрос «тот ли я, за кого себя выдаю». Ближайший пример — ваша банковская карточка. Когда вы вставляете ее в банкомат под своим чипом, вы вводите пин-код. И вы подтверждаете, что вы тот, за кого вы себя выдаете. Эта верификация двухфакторная.

Когда база данных состоит из большого количества пользователей, возрастает риск ошибки. Они бывают двух видов. Первое — вероятность того, что система незарегистрированного пользователя примет как своего. Значит, тут проблемы с безопасностью. Второе – наоборот, когда зарегистрированного пользователя система не распознает. Тут уже проблемы с удобством пользования, потому что со второго раза система все обычно считывает верно. Как раз, чтобы уменьшить первую ошибку, применяется метод верификации. Если есть один идентификатор, то система делит огромную базу на десять, со вторым она выбирает нужного пользователя из гораздо меньшей базы.

Биометрия надежна тогда, когда она сделана профессионально. Бывают системы, которые стоят дешево и выглядят вроде как надежно, но их нельзя применять для денег. Если уж банк внедряет систему, то стоит надеяться, что она будет качественной и надежной. С хорошими алгоритмами и аппаратной частью.

Мы говорим про профессиональную биометрию. Она обычно хранит шаблоны в зашифрованном виде. Этот алгоритм шифрования известен только производителю. То есть какая-то компания привезла свою систему в банк и сказала: «Вот вам софт». А внутрь, в мозги, уже влезть невозможно. И этот алгоритм банку неизвестен, его нельзя расшифровать, вы можете привязать шаблон только к своей фамилии. Есть Иванов, есть его шаблон. И тут уже вопрос к банку насчет сохранности персональных данных. Сам шаблон не нужен никому. Только банку и вам. А третьему лицу он бесполезен. Но если банк сольет ваши персональные данные хотя бы вместе с шаблоном, то он сольет только данные и все. Этот шаблон обезличен, и соответственно не нужен никому. Будет он в доступе или нет — неважно, злоумышленник не сможет сравнить ваш отпечаток пальца со своим. Ему придется вас принудить своим пальцем открыть ему доступ, а это уже уголовная статья. Но это ничем уже не отличается от банковской карточки. Эти данные нужны только для того, чтобы с ними было сравнение при каждой транзакции. Если банк сделает так, что доступ к своему профилю можно получить только через биометрию, то тогда для злоумышленника это новость плохая. Ему остается только принуждать человека открывать доступ своими биометрическими данными. Взломать такую систему очень сложно. Но если будет биометрия и какой-то пароль, то, наверное, её можно взломать. В биометрии нужен именно человек. Биометрия удобна и банку, и пользователю, просто потому что запоминать пароли не приходится и делать это можно где угодно.